Symantec meldet mit Stuxnet verwandten Spionage-Trojaner

Symantec meldet auf europäischen Rechnern gefundenen Schadcode, der Teile des Stuxnet-Codes enthält. Nach Einschätzung der Sicherheitsforscher könnte „Duqu“, wie sie die Schadsoftware getauft haben, einen ähnlichen Angriff auf kritische Infrastruktur vorbereiten.

Die Autoren des neuen Schadprogramms hätten offensichtlich Zugriff auf den Quellcode von Stuxnet gehabt, schreibt Symantec – und nicht etwa nur auf dessen Binärdateien. Es sei möglich, dass es sich um dieselben Programmierer handle. Während Stuxnet aber Industriekontrollsysteme (Scada) von Siemens ins Visier nahm und damit scheinbar das Kernforschungsprogramm des Iran sabotieren wollte, installiert Duqu eine Hintertür und sammelt Dokumente, die für einen späteren Angriff verwendet werden könnten.

Der Name der Windows-Malware leitet sich von den von ihr erzeugten Dateien ab, die mit „~DQ“ beginnen. Der Trojaner ermöglicht zwar Fernzugriffe, repliziert sich aber nicht selbst. Allerdings lädt er eine zweite Spionagesoftware nach, die unter anderem Tastatureingaben aufzeichnet. „Daher darf Duqu als möglicher Vorläufer eines neuen ‚Stuxnet‘ bezeichnet werden“, heißt es in einer Pressemeldung von Symantec.

Die neue Malware wurde auf Systemen von sieben bis acht europäischen Unternehmen gefunden, sagte Vikram Thakur von Symantec gegenüber ZDNet. Er wollte weder Namen noch Länder nennen. Der Finder sei ein Sicherheitsdienstleister gewesen, der lieber anonym bleibe, um seine Kunden zu schützen. „Die erste betroffene Firma schien nichts mit Scada zu tun zu haben. Aber die folgenden gefundenen Exemplare zeigen eine gemeinsame Bedrohung.“ Alle seien zumindest mit der Herstellung von Komponenten für solche Kontrollsysteme befasst.